Qu'est Qu'un Antivirus de Nouvelle Génération (NGAV) ?

mars 24, 2022

Un antivirus de nouvelle génération (NGAV, Next-Generation Antivirus) combine intelligence artificielle, détection des comportements, algorithmes de Machine Learning et atténuation des exploits, afin d’anticiper et de prévenir immédiatement toutes les menaces, connues comme inconnues. Les NGAV sont basés dans le cloud, ce qui permet de les déployer en quelques heures plutôt qu’en plusieurs mois, tout en supprimant la charge de travail liée à la maintenance des logiciels, à la gestion de l’infrastructure et à la mise à jour des bases de données de signatures.

Les NGAV constituent l’étape suivante en matière de protection des endpoints grâce à une approche sans signature capable de protéger les endpoints de manière plus complète et plus efficace que les antivirus d’ancienne génération.

2022 CrowdStrike Global Threat Report

Téléchargez le Global Threat Report 2022 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.

Télécharger

Nouvelle génération contre ancienne génération

Antivirus de nouvelle génération
Antivirus d'ancienne génération
Détection des menaces inconnues


Combine intelligence artificielle, détection des comportements, algorithmes de Machine Learning et atténuation des exploits.
X

S'appuie sur des signatures difficiles à mettre à jour et inefficaces contre les attaques sans fichiers.
Impact sur les endpoints


L'architecture cloud n'a aucun impact sur les performances des endpoints ou ne nécessite aucun logiciel ou matériel supplémentaire.
X

Les analyses et mises à jour mobilisent un volume important de ressources et ralentissent les endpoints.
Délai de rentabilité


Implémentation en quelques heures
X

Implémentation en plusieurs mois

Détection des menaces connues et inconnues

Les antivirus d’ancienne génération utilisent des chaînes de caractères appelées « signatures » et associées à des types spécifiques de malwares afin de détecter et de prévenir de nouvelles attaques similaires. Cette approche est en passe de devenir obsolète dans la mesure où les cyberattaquants les plus ingénieux ont trouvé de nouvelles manières de contourner les protections assurées par les antivirus d’ancienne génération, notamment en lançant des attaques sans fichiers utilisant des macros, des moteurs de scripts, des chargeurs en mémoire, des commandes d’exécution, etc. On estime qu’en 2019 les attaques sans fichiers représentaient 38 % de toutes les attaques. En outre, les antivirus d’ancienne génération basés sur des signatures et l’heuristique ne détectent que 57 % de toutes les attaques potentiellement dangereuses.

Les antivirus d’ancienne génération contraignent les entreprises à adopter une approche réactive et les protègent uniquement contre les malwares et les virus connus répertoriés dans la base de données du fournisseur de l’antivirus. Cette approche était ce qui se faisait de mieux par le passé, mais est tout simplement inadéquate aujourd’hui pour lutter contre les menaces inconnues avec la même rigueur. Selon une étude menée par le Ponemon Institute, 76 % des participants ayant été victimes d’une compromission indiquent qu’il s’agissait d’une attaque zero day nouvelle ou inconnue. Seuls 19 % des participants victimes d’une compromission ont été en mesure de relier cette compromission à une menace connue.

Les antivirus de nouvelle génération ne souffrent pas de ces limitations, car ils tirent parti de méthodes de prévention plus sophistiquées (comme le Machine Learning, la détection des comportements et l’intelligence artificielle) qui permettent de ne pas s’appuyer uniquement sur des signatures pour détecter les activités malveillantes. Les NGAV protègent aussi bien contre les menaces inconnues que contre les menaces connues, ce qui est de plus en plus important au vu de l’augmentation des attaques sans fichiers. Ils permettent d’exposer en temps quasi réel ces deux types de menaces et sont bien plus efficaces et rapides que les antivirus d’ancienne génération dès lors qu’il s’agit d’aider les entreprises à les bloquer.

Délai de rentabilité

Les antivirus d’ancienne génération sont également à la traîne en termes de délai de rentabilité, avec un temps de déploiement moyen de trois mois. Ce délai s’explique par le fait que ces antivirus nécessitent souvent l’installation d’un matériel spécifique sur site. De plus, une fois installées, la plupart des solutions traditionnelles doivent être adaptées et configurées pour être pleinement opérationnelles.

Le déploiement d’un véritable antivirus de nouvelle génération natif au cloud est beaucoup plus simple et son implémentation complète peut se faire en quelques heures. Cet antivirus étant basé dans le cloud, il n’y a aucun logiciel ni matériel supplémentaire à acquérir, aucune infrastructure à mettre en œuvre, aucune solution à concevoir et aucune maintenance ni mise à jour des signatures à réaliser régulièrement.

Impact sur les endpoints

Une fois opérationnel, un antivirus d’ancienne génération peut représenter un encombrement important sur les endpoints en raison de l’intégration inefficace de fonctionnalités de sécurité au fil du temps, qui se traduit par des technologies redondantes et une incidence négative sur les performances. Le fait que son efficacité soit conditionnée à l’utilisation de signatures implique que les bases de données de signatures doivent être mises à jour en permanence pour inclure les derniers ajouts. Ces mises à jour consomment un volume considérable de données et demandent un temps tout aussi important, sachant qu’à peine une mise à jour terminée, elle est déjà obsolète.

Les antivirus de nouvelle génération sont conçus pour utiliser un agent léger unique, qui mobilise très peu de ressources et n’a qu’un impact minimal sur les endpoints.

EN SAVOIR PLUS

Téléchargez notre livre blanc Guide to AV Replacement et bénéficiez des conseils d’experts de la sécurité qui vous accompagneront à chaque étape de votre processus de décision. Télécharger le guide

Qu’attendre d’une antivirus de nouvelle génération ?

Un antivirus de nouvelle génération efficace doit s’appuyer sur des technologies innovantes pour faire face à des cyberadversaires qui changent constamment de tactiques, techniques et procédures pour s’infiltrer dans les entreprises, qu’il s’agisse de malwares de base ou zero day, ou encore d’attaques avancées sans logiciels malveillants. Les fonctionnalités de prévention à privilégier sont les suivantes :

1. Prévention des logiciels malveillants connus et inconnus

a. Protection antimalware sans fichiers de signatures

La protection antimalware sans fichiers de signatures utilise des algorithmes de Machine Learning pour déterminer la probabilité qu’un fichier soit malveillant. Les nouvelles menaces sont bloquées en temps réel et la rentabilité est immédiate.

b. Machine Learning

Le Machine Learning peut détecter et contrer les logiciels malveillants connus et inconnus, que les endpoints soient connectés au réseau ou non. Il détecte les indicateurs d’attaque de manière plus rapide et précise, élimine les ransomwares et comble les failles laissées par les antivirus d’ancienne génération.

2. Prévention des attaques sans logiciels malveillants

a. Indicateurs d’attaque

Les indicateurs d’attaque mettent en corrélation les événements se produisant au niveau des endpoints afin de détecter les activités furtives, signes d’intentions malveillantes. Une solution s’appuyant sur une analyse hors ligne rétrospective pour identifier les indicateurs d’attaque est incapable de rester au fait des dernières cybermenaces, en plus de nécessiter des ressources considérables. Les algorithmes en ligne qui exploitent le Machine Learning et n’ont pas besoin d’un ensemble complet de données pour effectuer des analyses pertinentes sont à la fois plus rapides, plus efficaces et plus performants.

b. Blocage des exploits

Les malwares ne sont pas toujours distribués au moyen de fichiers. Les attaques basées sur des macros, des commandes d’exécution, des chargeurs en mémoire et d’autres techniques sans fichiers sont en effet de plus en plus courantes. Le blocage des exploits permet de détecter et de bloquer les exploits dès qu’ils se produisent.

3. Intégration de la cyberveille

L’intégration de la cyberveille permet de déterminer immédiatement l’origine, l’impact et la gravité des attaques dans l’environnement et apporte les conseils nécessaires pour une intervention décisive et une résolution rapide.

4. Solution native au cloud

L’architecture cloud est une composante fondamentale des antivirus de nouvelle génération. Un NGAV basé dans le cloud peut être totalement opérationnel en quelques secondes, et ce sans redémarrage, mise à jour des signatures, configuration ni acquisition d’une nouvelle infrastructure. Les algorithmes peuvent traiter en direct l’activité des endpoints et exposer les fichiers malveillants et les comportements suspects en temps quasi réel, sans incidence sur les performances des endpoints.

CONSEIL D'EXPERT

Saviez-vous que 39 % des logiciels malveillants ne sont pas détectés par les antivirus traditionnels ? Comparez les performances de votre solution antivirus actuelle et découvrez ce qui lui échappe.

Fonctionnement d’un antivirus de nouvelle génération

Les antivirus de nouvelle génération exploitent de nouvelles technologies pour assurer la protection des endpoints d’une manière radicalement différente des antivirus traditionnels. Tirant parti d’algorithmes de Machine Learning sur une architecture cloud, les NGAV peuvent neutraliser les menaces en constante évolution qui sont aujourd’hui si répandues.

Un antivirus de nouvelle génération présente les caractéristiques suivantes :

1. Agent léger unique

Grâce à une architecture cloud et à un agent léger unique, l’impact sur les endpoints est quasiment nul, ce qui évite de sacrifier les performances au profit de la sécurité.

2. Fonctionnalités de prévention de haut niveau

Un véritable antivirus de nouvelle génération s’appuie sur des outils et méthodes de prévention sophistiqués qui bloquent non seulement les malwares, mais aussi les attaques sans fichiers, quelles que soient les tactiques, techniques et procédures utilisées par les cyberattaquants. Ces outils et méthodes incluent notamment le Machine Learning, le blocage des exploits, les listes blanches et noires personnalisées, les indicateurs comportementaux d’attaque, l’attribution de la responsabilité des attaques et le blocage des adwares.

3. Aucune mise à jour des signatures nécessaire

Le Machine Learning permet de tirer parti d’algorithmes sophistiqués pour analyser des millions de caractéristiques de fichiers en temps réel et déterminer si un fichier est malveillant. Comme elles ne s’appuient pas sur des signatures, les solutions NGAV telles que CrowdStrike Falcon sont capables de détecter et de bloquer à la fois les malwares connus et inconnus, même lorsque les endpoints ne sont pas connectés au cloud.

4. Prévention en ligne et hors ligne

L’agent intelligent CrowdStrike Falcon prévient les menaces aussi bien en ligne qu’hors ligne et prend en charge le traitement des données et la prise de décision au niveau de l’endpoint. De cette façon, vous bénéficiez non seulement d’une détection et d’une prévention de haute précision, mais aussi d’une protection continue des endpoints, qu’ils soient en ligne ou hors ligne.

5. Rentabilité immédiate

Les solutions NGAV sont généralement déployées et opérationnelles en quelques heures, sans matériel ni logiciel supplémentaire et sans réglage ni configuration. Certains clients indiquent avoir installé jusqu’à 70 000 agents en une seule journée.

6. Aucune charge de gestion

Les solutions NGAV sont conçues pour s’intégrer de façon transparente dans les environnements sans introduire de complexité supplémentaire. En outre, aucune infrastructure de gestion sur site n’est nécessaire.

7. Intégration

Les solutions NGAV s’intègrent en toute facilité aux solutions SIEM. Grâce aux capteurs Falcon de CrowdStrike qui extraient les événements collectés depuis les endpoints et aux API Falcon qui s’intègrent aux renseignements fournis par des sources tierces et aux indicateurs de compromission existants, les entreprises peuvent tirer le meilleur parti possible de leurs investissements de sécurité.

Remplacez votre antivirus obsolète

CrowdStrike Falcon Prevent est la nouvelle norme en matière de prévention et vous offre une protection supérieure contre les malwares, les exploits, les intrusions sans logiciels malveillants et les menaces persistantes avancées. Les entreprises bénéficient ainsi d’un niveau de visibilité inédit sur les tentatives d’attaque grâce à une arborescence claire qui offre tous les détails et le contexte nécessaires pour comprendre ce qui se passe sur les endpoints et réagir le plus efficacement possible.

Regardez la vidéo ci-dessous pour découvrir en quoi la solution antivirus de nouvelle génération de CrowdStrike peut vous offrir une protection supérieure et aider votre entreprise à se prémunir contre les compromissions.

Falcon Prevent n’a quasiment aucun impact sur les endpoints et peut être pleinement opérationnel sur des dizaines de milliers d’endpoints en seulement quelques heures. Une fois la solution déployée, la gestion et la maintenance sont assurées dans le cloud, ce qui permet en outre une intégration aisée avec les solutions SIEM existantes.

EN SAVOIR PLUS

Téléchargez la fiche technique de Falcon Prevent pour découvrir les fonctionnalités conçues pour protéger votre entreprise contre les compromissions et ce qui fait de notre solution NGAV une solution de remplacement reconnue par le secteur.Télécharger la fiche technique